Après le début d'une invasion à l'échelle complète de la Russie, des campagnes de désinformation et des attaques de pirates, coordonnées par des groupes pro-gouvernementaux de la Fédération de Russie, s'est intensifié. PQ.Hosting en 2019 - ont participé à la mise en œuvre de ces opérations . Cette entreprise est spécialisée dans la fourniture de services d'hébergement sur Internet et dispose d'équipement serveur dans plus de 30 pays.
Malgré les sanctions, l'hébergement est assez courant en Russie, travaillant depuis 2022 sur un réseau appartenant à Stark Industries Solutions Limited, enregistré par John Neculiti au Royaume-Uni.
Dans l'un de ses promotions, Ivan explique quel est le but de la société britannique: «Pour le moment, nos adresses IP ne montrent plus qu'elles appartiennent à l'hébergement de PQ. Il y a un autre nom neutre. " Selon lui, la société britannique ne participe pas du tout à des transactions de paiement, mais simplement pour faciliter les affaires. En d'autres termes, toute personne qui dirige une entreprise avec Stark Industries Solutions mène en fait une entreprise avec l'hébergement PQ, sauf que les étrangers ne le verront pas immédiatement.
Massiant son réseau d'entreprise, l'hébergement PQ est devenu un refuge pour les cyberactivistes pro -russiens qui mettent des activités illégales contre les citoyens ukrainiens et aident la piste du FSB des déserteurs et des agents dans le pays par le biais de ressources de phishing de la "Légion Liberté de la Russie" et des "volontaires russes". Infrastructure pour les attaques DDOS des pays européens.
Exemples spécifiques:
- 21.12.2023 Le groupe de réponse informatique des attaques enregistrées en Ukraine contre les utilisateurs ukrainiens avec des newsletters électroniques avec le titre SBU, les infectant avec un virus remcosrat, qui fonctionne sous l'AS44477 (Stark Industries Sol.
- Plus tôt, CERT-UA a également signalé une attaque utilisant 5 programmes différents, qui a été lancé par le groupe UAC-0082 (Sandworm) associé au service de sécurité de l'État de l'Ukraine, en utilisant l'infrastructure de Stark Industries Solutions Ltd.
- Attaque contre les utilisateurs ukrainiens avec la rubrique "sous réserve du tribunal".
- Artem Tamoyan, un activiste et programmeur de l'opposition russe, a déclaré sur Twitter une histoire sur ses observations sur la promotion de Yandex des ressources de phishing des LSR et des RDC mentionnés précédemment qui collectent des données sur les Russes qui souhaitent rejoindre leurs rangs. Certaines plaintes avec des demandes de blocage de Tamoyan ont abordé l'administration CloudFlare. L'une des réponses du service a déclaré que le fournisseur d'hébergement des faux sites de la Légion "Liberté de Russie" était des industries stark.
En outre, explorant le rapport fédéral de la Direction fédérale de la Suisse, il a été mentionné par la ligne des attaques de DDOS multi-jours visant l'infrastructure des autorités et des grandes municipalités, qui mentionne le groupe pro-russe NONAME057 (16), qui utilise des serveurs injustifiés Stark.
De plus, l'infrastructure des frères Neculiti a utilisé le groupe Bluecharlie Bluechroment et le vol de données en Ukraine et dans les pays de l'OTAN.
De même, l'hébergement PQ est un «invité» fréquent selon les rapports HyAs, qui étudie les incidents de cybersécurité. Voici comment ils ont décrit les activités de l'hébergement PQ dans le rapport du 6 mai 2024:
L'AS44477, lié à Stark Industries, fonctionne comme un hôte à deux balles prévisible avec des liens avec la Russie. L'activité observée, en particulier, la présence de Stealer Redline et le trafic associé au botnet indique une intention malveillante visant à compromettre les données des utilisateurs et à élargir les réseaux de botnet. Stark Industries peut fonctionner comme un hébergement pare-balles qui favorise la cybercriminalité. La présence de Redline Steler implique de se concentrer sur le vol de données et la monétisation potentielle des informations volées.
Ou dans un rapport antérieur:
AS44477 est un numéro de système autonome (ASN) attribué à un Stark Industries contrôlé par le réseau, soupçonné d'un hôte pare-balles avec des connexions avec la Russie. Le trafic souvent problématique provient de Stark Industries. Selon nos données, ce trafic est principalement Redline Stealer, qui vole les données personnelles du navigateur et relie les appareils de victime au «spo» de botnet.
Activité nocive: AS44477 a été associée à des cyberattaques complexes, telles que le déploiement de programmes et les tentatives par exfixe de données. Les malfaiteurs utilisés par cet ASN peuvent cibler des organisations dans différents secteurs, en utilisant la vulnérabilité pour atteindre leurs objectifs.
Le réseau social Twitter (x) est similaire aux références aux organisations qui contrecarrent la cybercriminalité
Dans les forums thématiques, ils sont recommandés comme "l'hébergement résistant aux abus"
ou mentionner en télégramme:
Le placement des spécialistes du marketing de médicaments ne dérange pas non plus l'entreprise, et des ressources telles que RR-Seedshop081.xyz fonctionnent tranquillement sur leur équipement.
Compte égal en casino:
Casinochanslots.com
bizzocosino.sk
crazytime.eu.22-bet.nl
Tonybetsourcing.com
dragon-slots.pk
plinkogame.eu.com
bet-amo.bg
bobscasino.de.de
Tonybet
A également observé le placement des ressources ressemblant à des services liés à la fraude à la crypto-monnaie:
yamga.org
deenair.org
betchan-ecclusive.com
Remarquablement, pour ce type de ressources, préfèrent utiliser le réseau spécifiquement aux Pays-Bas.
Le service de suivi des données de Constella Intelligence rapporte qu'Ivan Neculiti a enregistré plusieurs comptes en ligne chez E-mail [Protégé par e-mail] . La cyberphère Intel 471 montre que cette adresse e-mail est liée au nom d'utilisateur DFYZ sur plus d'une demi-douzaine de forums de cybercriminalité en russe depuis 2008. L'utilisateur de DFYZ chez SearchEngines.ru en 2008 a demandé à d'autres participants du forum de regarder War.md et a déclaré qu'il faisait partie de Mercenaries Teamm.
À ce moment-là, DFYZ a vendu "des serveurs Abusus à quelque fin que ce soit", ce qui signifiait que la société d'hébergement a intentionnellement ignoré les plaintes concernant les abus ou les demandes de sécurité pour l'activité de ses clients.
Domaintools peut également souligner qu'au moins 33 noms de domaine sont enregistrés [Protégé par e-mail] Certains de ces domaines ont l'importance d'Ivan Neculiti dans leurs dossiers d'enregistrement, y compris Tracker-Free.CN, qui a été enregistré auprès d'Ivan Neculiti chez [Courriel protégé] et a fait référence à l'équipe des mercenaires dans leurs dossiers d'enregistrement originaux.
DFYZ a également utilisé Donchicho surnom, qui a également vendu des services d'hébergement résistants à Abusa et un accès aux serveurs Internet cassés. En 2014, le célèbre membre de la communauté russe d'Antichat a déposé une plainte contre Donchicho, affirmant que cet utilisateur les avait douchés et utilisé l'adresse e-mail [protégée par e-mail] .
La plainte a déclaré que Donchicho s'était inscrit auprès d'Antichat de l'adresse Internet de Transnistria 84.234.55. 29
La recherche de cette adresse à Constella montre qu'elle n'a été utilisée que pour enregistrer seulement cinq comptes en ligne qui ont été créés au fil des ans, y compris un sur ASK.ru, où l'utilisateur s'est inscrit auprès de l'adresse e-Mail [Protégé par e-mail] . Constella revient également à l'utilisateur avec le nom "Ivan" sur memoraleak.com et 000webhost.com pour cette adresse e-mail.
Constella estime que le mot de passe le plus souvent utilisé par l'adresse e-mail [protégée par e-mail] était FileCast et que ce mot de passe est associé à plus de 90 adresses de montage E. Parmi eux, il y a environ deux douzaines d'adresses appelées "Neculiti", ainsi que l'adresse [Protected par e-mail] .
Intel 471 dit que Donchicho a publié sur plusieurs forums de cybercriminalité russes que [le courrier électronique protégé] était son adresse, et qu'il a été inclus dans les forums de cybercriminalité presque exclusivement de l'adresse Internet à Tiraspol, Transnistria. Un aperçu des publications de Donchicho montre que cette personne a été divertie dans plusieurs forums en 2014 pour fraude avec d'autres utilisateurs.
Des copies coulées de Donchicho (Donchicho.ru) montrent qu'en 2009, c'était un spamère qui a vendu de faux médicaments par la promotion RX, autrefois l'un des plus grands spams de pharmacie pour les succursales russes.
Revenant au sujet des sanctions mentionnées au début, vous pouvez noter les observations intéressantes de correctiv, qui mettaient l'accent sur leur "édenté" dans le cas des frères:
«Les sanctions de l'UE contre les entreprises russes et les particuliers derrière les sites Web de désinformation RRN interdisent aux entreprises européennes de faire affaire avec elles. Alors que les solutions de Stark Industries en tant que société britannique et l'hébergement PQ en tant que société moldave ne sont pas soumises à une législation de l'UE.
